Active Directory gegen OpenLDAP

Dies ist für ein kleines Unternehmen (12 Entwickler) gedacht, das keine zentralisierte Benutzerdatenbank implementiert hat - es ist organisch gewachsen und hat nur die erforderlichen Konten auf Computern erstellt.

Aus Managementsicht ist es ein Albtraum - 10 Computer mit unterschiedlichen Benutzerkonten. Wenn ein Benutzer zu einem Computer hinzugefügt wird, muss er manuell zu allen anderen Computern hinzugefügt werden (auf die er zugreifen muss). Das ist alles andere als ideal. Die Weiterentwicklung und das Wachstum des Unternehmens bedeuten einen exponentiell höheren Arbeitsaufwand, wenn mehr Computer / Benutzer hinzugefügt / eingestellt werden.

Ich weiß, dass eine Art zentralisierte Benutzerverwaltung dringend benötigt wird. Ich diskutiere jedoch zwischen Active Directory und OpenLDAP. Zwei aktuelle Server fungieren als einfache Sicherungs- und Dateifreigabeserver, auf denen Ubuntu 8.04LTS ausgeführt wird. Die Computer sind eine Mischung aus Windows XP und Ubuntu 9.04.

Ich habe keine Erfahrung mit Active Directory (oder wirklich OpenLDAP, aber ich bin mit Linux vertraut), aber wenn eine Lösung die andere überwiegt, ist es gerechtfertigt, dass ich das lerne.

Die Vorlaufkosten sind kein wirkliches Problem, die Gesamtbetriebskosten sind es. Wenn Windows (vermutlich SBS?) Mir genug Zeit spart, um die gestiegenen Vorabkosten auszugleichen, sollte ich diese Lösung wählen.

Welche Lösung sollte ich für meine Anforderungen in Betracht ziehen?

Bearbeiten: E-Mails werden extern gehostet, sodass Exchange nicht erforderlich ist.

Bleib bei der Open Source, wenn ich deine Frage richtig lese:

• Sie interessieren sich nicht für Exchange
• Sie müssen die XP-Einstellungen nicht sehr genau kontrollieren - ich liebe Gruppenrichtlinien hauptsächlich, um die Administratoren / Vertriebsmitarbeiter vor sich selbst zu bewahren. Die Entwickler müssen mich meistens aus den Haaren halten
• Sie fühlen sich mit * nix wohler als mit Windows

AD ist hervorragend in der Verwaltung von Fenstern bis zu einem gewissen Grad, aber wenn Sie das nicht benötigen, kaufen Sie sich eine Lernkurve, die wahrscheinlich keinen großen Nutzen bringt.

2 Vorbehalte

• Wenn Sie die Zeit / das Interesse haben, sich stärker auf die MS-Seite zu konzentrieren, ist dies eine gute Möglichkeit, dies zu tun.
• WSUS ist ein guter Weg, um Workstation- / Server-Patches zu kontrollieren. Wenn Sie nicht einfach den "automatischen" Schalter auf allen Computern umlegen können, wird der Kontostand möglicherweise auf SBS übertragen (wenn SBS WSUS ausführt?)

Sie werden viele nette Funktionen von Active Directory erhalten, die Sie mit OpenLDAP nicht bekommen. Zu den wichtigsten zählen sowohl die einmalige Anmeldung (dh ein Benutzerkonto, das auf allen Client- und Server-Computern funktioniert) als auch die Gruppenrichtlinie.

Ich liebe Open-Source-Software, aber bis Samba 4 ausgereift ist, bietet Active Directory die beste Verwaltungserfahrung mit Windows 2000 und neueren Client-Computern.

Ohne die Verwendung von Software von Drittanbietern gibt es keine standardbasierte LDAP-Authentifizierung mit Windows XP-Clients. Lesen Sie hier meine Antwort zu: Kerberos-Integration mit Windows XP - die Erfahrung mit OpenLDAP wird sehr ähnlich sein (mit der Ausnahme, dass Sie Software von Drittanbietern wie pGINA im Voraus benötigen , damit die LDAP-Authentifizierung funktioniert): So erhalten Sie Windows XP für die Authentifizierung Kerberos oder Heimdal

Ob Sie sich für Windows Small Business Server entscheiden, hängt davon ab, was Sie ausgeben möchten (anfängliche Kosten und Kosten für Clientzugriffslizenzen für SBS sind mehr als "normales" Windows), und ob Sie den zusätzlichen Nutzen daraus ziehen oder nicht. Eigenschaften". Ich stelle mir Windows SBS lieber als kostengünstiges Windows- und Exchange-Bundle vor (mit einem übermäßig komplizierten Setup und komplizierten Verwaltungstools, die ich nie verwende.) Ich verwalte Windows SBS eher wie einen "normalen" Windows- und Exchange Server-Computer, und das funktioniert sehr gut als solche.

Ein Windows Server mit Active Directory, Microsoft DHCP / DNS, WSUS (zur Bereitstellung von Updates für Clientcomputer) und einigen Gruppenrichtlinienobjekten für die Konfiguration von Benutzer- / Computerumgebungen und die Installation von Software vereinfacht den Verwaltungsaufwand erheblich und erleichtert das Hinzufügen zukünftiger Computer. Es ist nicht so schwierig, Exchange in Betrieb zu nehmen (die größten Probleme treten auf, wenn Ihre E-Mails aus dem Internet an Exchange gesendet werden - so viele Leute scheinen nicht zu verstehen, wie DNS und SMTP zusammenarbeiten).

Angenommen, Ihre Installation wird von jemandem ausgeführt, der weiß, was er tut, und dass Sie alles gut behandeln, nachdem es für Sie ohne große administrative Probleme gut laufen wird. Ich schreibe Leute ab, die die Unzuverlässigkeit von Windows und Exchange beklagen, weil sie normalerweise Probleme haben, weil sie entweder (a) minderwertige Hardware verwenden und den Preis langfristig zahlen oder (b) nicht kompetent sind, die Software zu verwalten. Ich habe Windows SBS-Installationen, die bis in den Zeitraum von Version 4.0 zurückreichen und bereits Jahre nach der Installation ausgeführt werden. Sie können auch eine haben.

Wenn Sie noch keine Erfahrung mit diesen Produkten haben, empfehlen wir Ihnen, mit einem seriösen Berater zusammenzuarbeiten, um die Installation durchzuführen und sich selbstständig zu machen. Ich würde ein gutes Buch empfehlen, wenn ich eines kenne, aber ich bin mit fast allen, die ich gelesen habe, ziemlich unzufrieden (in der Regel fehlen ihnen alle Beispiele und Fallstudien aus dem wirklichen Leben).

Es gibt eine Vielzahl von Beratern, die Sie kostengünstig vom Markt bringen können (das Setup, von dem Sie sprechen, vorausgesetzt, Sie erledigen die "Hauptarbeit" selbst, scheint ungefähr anderthalb bis zwei Tage zu dauern) grundlegende Windows- und Exchange-Installation, für mich) und kann Ihnen helfen, "die Seile zu lernen". Der größte Teil der Arbeit wird für die Migration Ihrer vorhandenen Benutzerumgebungen aufgewendet (dh die Migration der vorhandenen Dokumente und Profile in das servergespeicherte Benutzerprofil des neuen AD-Kontos und die Umleitung der Ordner "Eigene Dokumente" usw.). (Ich würde, nur weil es die Benutzer auf lange Sicht glücklicher und produktiver machen wird.)

Sie sollten eine Art Sicherungsgerät und Sicherungsverwaltungssoftware, einen Servercomputer mit redundanten Datenträgern ( mindestens RAID-1) und eine Art Stromschutz (UPS) einplanen. Ich würde erwarten, mit einem Low-End-Server, Lizenzkosten und der Power Protection Hardware, die Sie in der Tür mit Windows SBS für etwa $ 3500.00 - $ 4000.00 bekommen könnten. Persönlich würde ich Ihnen ungefähr 10 bis 20 Stunden Einrichtungsarbeit vorschreiben, je nachdem, wie gut Sie mit Ihren Anforderungen vertraut sind und wie viel Arbeit Sie lernen möchten, anstatt vom Installateur erledigt zu werden.

Hier ist eine allgemeine Liste der typischen Installationsaufgaben, die ich in einer Bereitstellung wie Ihrer sehe:

• Server-Computer, USV usw. physikalisch einrichten
• Installieren Sie Windows, Exchange, WSUS, Infrastrukturdienste, Service Packs, Sicherungsverwaltungssoftware, UPS-Verwaltungssoftware usw.
• Diskutieren Sie die Dateifreigabe (Berechtigungen, freigegebene Speicherorte, Verzeichnishierarchie).
• Erstellen Sie Benutzerkonten (servergespeicherte Profilordner, Ordner "Eigene Dateien" usw.), Sicherheitsgruppen, Verteilergruppen und grundlegende Gruppenrichtlinienobjekte.
• Besprechen Sie die Migration vorhandener E-Mail-Daten und formulieren Sie Strategien. Nehmen Sie Änderungen an DNS vor, um E-Mails direkt an Exchange zu senden.
• Besprechen Sie die Migration von Benutzerumgebungen auf neue AD-Konten. Entwickeln Sie ein Migrationsverfahren, wenn eine Schulung zur Durchführung der Migration gewünscht wird.
• Führen Sie eine Pilotmigration (Pilotmigration) von Clientcomputern und Benutzerprofilen in die Domäne durch.
• Besprechen Sie die alltäglichen Sysadmin-Aufgaben (Zurücksetzen des Kennworts, Ändern der Benutzergruppenmitgliedschaft, Überprüfen der Benachrichtigungen über den Erfolg / Misserfolg von Sicherungen, Überwachen von WSUS und Aktualisieren der Installation), erörtern Sie häufige Probleme, beheben Sie Probleme und führen Sie Fragen und Antworten durch.
• Empfehlungen für zukünftige Aktivitäten abgeben (Automatisierung von Softwareinstallationen, VPN-Konnektivität usw.)

OpenLDAP kann zum Überprüfen von Passwörtern verwendet werden, ist jedoch meist eine zentralisierte Methode zum Verwalten von Identitäten. AD integriert LDAP, Kerberos, DNS und DHCP. Es ist ein viel umfassenderes System als nur OpenLDAP für sich.

Aus Managementsicht könnten Sie AD einfach auf einem Paar von Win2K3-Servern installieren und alle Unix-Systeme darauf verweisen und die AD-Server nur zur Kennwortprüfung verwenden. Es ist sehr einfach, ein Unix-System mit pam so zu machen, dass es Kerberos für die Kennwortprüfung und lokale Kennwortdateien für die Autorisierung verwendet. Es ist nicht ganz so gut wie die vollständige AD-Integration, aber auch trivial zu implementieren.

Vor- und Nachteile der AD-Linux-Integration

Verwenden von AD als Kerberos-Server zur Authentifizierung lokaler Konten

Sie sollten auch einen Blick auf den Fedora-Verzeichnisserver werfen (der anscheinend jetzt offiziell "389-Verzeichnisserver" ist), der auf der Netscape-LDAP-Codebasis basiert. Es wird von RedHat unter ihrer Marke verkauft und wird daher aktiv gepflegt. Ich habe gehört, dass es in mancher Hinsicht besser ist als OpenLDAP, obwohl ich es selbst nie benutzt habe. Wahrscheinlich ist es in der Funktionalität näher an AD als OpenLdap selbst, das eigentlich nur der Kern eines vollwertigen Verzeichnissystems ist.

Es gibt auch Apache Directory Server , der reines Java ist und aussieht, als wäre er aktiv entwickelt worden.

Da Sie mit beidem keine Erfahrung haben, entstehen mit der Lernkurve (hauptsächlich zeitliche) Kosten. Unter Wartungsgesichtspunkten müssen Sie LDAP nur dann wirklich berühren, wenn Sie Konten hinzufügen / entfernen oder deren Attribute ändern (Namens- / Adressänderungen). Dies ist bei beiden recht einfach. Vom Standpunkt der Implementierung aus ist dies das Verzeichnis, mit dem die Clients am einfachsten kommunizieren können sollen: Active Directory ist einfacher, da Windows-Clients von Haus aus mit Domänencontrollern und der Dokumentation kommunizieren können, um Ubuntu / anderen Linuxen die Kommunikation zu ermöglichen Authentifizierung über AD ist sofort verfügbar. Wenn Sie möchten, dass sich Ihre Windows-Clients außerhalb von openLDAP authentifizieren können, benötigen Sie einen SAMBA-Server, der auf Anforderungen wartet (openLDAP tut dies nicht von Haus aus).

AD bietet Funktionen wie Gruppenrichtlinien und andere Verwaltungsfunktionen, die mit einer openLDAP-Lösung nicht einfach zu erreichen sind. Die Installation einer grundlegenden Bereitstellung von Windows Server und die Integration in XP / Vista / 7-Clients sowie die Integration von Ubuntu-Clients sind ein Kinderspiel von vergleichbarem Schwierigkeitsgrad mit AD und openLDAP.

Produkte wie Suse SLES und Redhat Enterprise Server (oder CentOS) machen die Integration von Win und Linux einfacher als Ubuntu oder Debian Server, aber es gibt noch viel zu lernen.

Wenn die Kosten ein Problem darstellen würden, könnten Sie ein Setup mit Linux und zusätzlicher Software wie der Nitrobit-Gruppenrichtlinie erstellen, das eine vergleichbare Menge an Funktionen ermöglicht, jedoch mit einer steilen Lernkurve.